Konfiguration der Windows Firewall per Kommandozeile
Inhaltsverzeichnis
Symptom
In der Core-Installation von Windows Servern wollen Sie die Firewalleinstellungen ändern, es steht Ihnen jedoch die Verwaltungs-GUI für die „Windows-Firewall mit erweiterter Sicherheit“ nicht zur Verfügung. Insbesondere ist das z.B. bei den frei verfügbaren Hyper-V Core Servern der Fall, in denen Sie die Windows GUI auch nicht nachinstallieren können.
Lösung
Allgemein
Die Einstellungen der Windows Firewall können Sie mit dem Befehl
netsh advfirewall firewall
anpassen. Sie können entweder einzelne Ports öffnen oder schließen, z.B. mit
netsh advfirewall firewall add rule name="Port 80 oeffnen" dir=in action=allow protocol=TCP localport=80
oder vordefinierte Regelgruppen von Windows für bestimmte Anwendungszwecke verwenden. Dies umfasst dann ggf. mehrere Ports bzw. Einstellungen auf einmal. Beispielweise können Sie die Firewall für den Remotedesktop-Zugriff öffnen mit dem Befehl
netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes
Windows bietet folgende vordefinierte Regelgruppen:
Windows-Firewallremoteverwaltung Remotedesktop Datei- und Druckerfreigabe Windows-Verwaltungsinstrumentation (WMI) Windows-Firewallremoteverwaltung Remotedienstverwaltung Distributed Transaction Coordinator Kernnetzwerk Leistungsprotokolle und -warnungen Schlüsselverwaltungsdienst Verwaltung virtueller TPM-Smartcards Microsoft Hyper-V-Verwaltungsclients Remote-Ereignisprotokollverwaltung iSCSI-Dienst Remotevolumeverwaltung Routing und RAS Windows-Remoteverwaltung (Kompatibilität) Windows-Remoteverwaltung Remoteverwaltung geplanter Aufgaben Datei- und Druckerfreigabe über SMBDirect Hyper-V-Replikat - HTTPS Hyper-V-Replikat - HTTP Hyper-V Anmeldedienst Netzwerkerkennung Remoteherunterfahren SNMP-Trap Überwachung für virtuelle Computer
Anwendungen
Zu Testzwecken kann es sinnvoll sein, auf einem Server, der sich nicht im Produktivbetrieb befindet, die Firewall-Einstellungen hinsichtlich Remoteverwaltbarkeit etwas großzügiger freizuschalten, ohne dabei die gesamte Firewall zu deaktivieren. Dafür bietet sich beispielsweise der folgende Satz an Befehlen an:
netsh advfirewall firewall set rule group="Windows-Firewallremoteverwaltung" new enable=yes netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes netsh advfirewall firewall set rule group="Datei- und Druckerfreigabe" new enable=yes netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes netsh advfirewall firewall set rule group="Remotedienstverwaltung" new enable=yes netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes netsh advfirewall firewall set rule group="Remote-Ereignisprotokollverwaltung" new enable=yes netsh advfirewall firewall set rule group="Remotevolumeverwaltung" new enable=yes netsh advfirewall firewall set rule group="Windows-Remoteverwaltung" new enable=yes netsh advfirewall firewall set rule group="Remoteverwaltung geplanter Aufgaben" new enable=yes netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes
Für Hyper-V Server im Testbetrieb hat sich die Freischaltung folgender Ports und Regelgruppen bewährt:
netsh advfirewall firewall set rule group="Hyper-V" new enable=yes netsh advfirewall firewall add rule name=" TCP Port 6600 fuer Hyper-V Live Migration" dir=in action=allow protocol=TCP localport=6600 netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTPS " new enable=yes netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTP" new enable=yes netsh advfirewall firewall set rule group="Überwachung für virtuelle Computer" new enable=yes
Bitte beachten Sie: Wir empfehlen, die Firewall auf einem Server im Produktivbetrieb aus Sicherheitsgründen in jedem Falle so restriktiv wie möglich zu konfigurieren. Dies gilt auch für Server, die sich im LAN befinden und selbst keine Portfreigaben ins Internet besitzen.
Weitere Informationen
http://mittelstand.max-it.de/Server-Infrastruktur/Server-Virtualisierung
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: mailto:techcorner@max-it.de.
Tags
Windows Server Firewall, Windows Firewall mit erweiterter Sicherheit, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server Core, Hyper-V Server 2008 R2, Windows Server 2012, Windows Server 2012 R2